Danny Weber
Amerykańska firma OnDefend przeprowadziła pięciomiesięczny audyt dronów DJI. Nie znaleziono krytycznych ani poważnych luk, tylko 10 drobnych problemów. Wyniki mogą wpłynąć na spór z amerykańskimi regulatorami.
DJI opublikował wyniki niezależnego audytu bezpieczeństwa, który przeprowadziła amerykańska firma OnDefend. Przez pięć miesięcy jej specjaliści analizowali konsumenckiego drona DJI Air 3S oraz model biznesowy Matrice 4E. Nie znaleźli żadnych krytycznych, poważnych ani średnich problemów. Co więcej, audyt nie wykrył ukrytych tylnych drzwi, złośliwego oprogramowania, przesyłania danych poza USA ani udanych prób włamania.
Audyt odbywa się w trakcie sporu DJI z amerykańskimi regulatorami. Firma kwestionuje decyzję FCC, która praktycznie uniemożliwia certyfikację nowych zagranicznych dronów na rynek USA. DJI szacuje, że może tracić około 1,56 miliarda dolarów rocznie z powodu tych ograniczeń, a część planowanych produktów może w ogóle nie trafić do USA.
OnDefend zbadał drony pod kątem oprogramowania, firmware'u, sprzętu oraz kanałów radiowych. Zespół przeprowadził symulacje ataków man-in-the-middle, fizycznie rozbierał urządzenia i analizował komponenty. Warto dodać, że firma kupiła testowane egzemplarze samodzielnie: Air 3S w sklepie detalicznym, a Matrice 4E z magazynu dealera. DJI nie miało wpływu na wybór konkretnych urządzeń.
Nie oznacza to jednak, że audyt był całkowicie czysty. Eksperci znaleźli 10 problemów niskiego ryzyka, w tym słabe protokoły TLS w aplikacji towarzyszącej i tokeny uwierzytelniające w adresach URL. OnDefend uznał je za typowe dla złożonych systemów wbudowanych, a DJI zapewnia, że naprawia je poprzez aktualizacje oprogramowania. Audytorzy zastrzegli też, że kontrola dotyczy wyłącznie stanu tych dwóch modeli w konkretnym momencie i nie zastępuje ciągłych testów przyszłych aktualizacji.
Wybór OnDefend nie jest przypadkowy. Ta sama firma została wcześniej wyznaczona na jednego z niezależnych inspektorów bezpieczeństwa TikToka w USA. Zbadała więc dwie chińskie firmy technologiczne, które znalazły się pod presją amerykańskich władz z powodu obaw o bezpieczeństwo narodowe. Warto jednak zauważyć, że audyt DJI został zlecony i opłacony przez samą firmę, co odróżnia go od pełnej kontroli przeprowadzanej pod nadzorem federalnym.
Dla DJI wyniki audytu to argument przeciwko ograniczeniom, ale raczej nie rozwiązują one wszystkich politycznych i regulacyjnych wątpliwości. Firma już w sądzie twierdzi, że działania FCC naruszają konstytucję USA. W kwietniowych dokumentach poinformowała o cofnięciu pozwoleń dla 14 istniejących produktów i niemożności wprowadzenia 25 planowanych urządzeń. Na tym tle eksport cywilnych dronów z Chin do USA spadł już o 60–70% rok do roku od grudnia, jak podaje Nikkei Asia.
© A. Krivonosov